26 programas de recompensas de bugs das maiores empresas de tecnologia do mundo
Publicados: 2022-02-17Um programa de recompensas de bugs ajuda sites, serviços e organizações a encontrar problemas (bugs e vulnerabilidades) em suas ofertas.
Mas, como isso acontece? O que é isso? Por que as organizações os têm?
Aqui, discutiremos isso, juntamente com uma lista de plataformas de recompensas de bugs criadas por algumas das maiores empresas de tecnologia do mundo.
O que é um programa de recompensas de bugs?
Um programa de recompensas por bugs recompensa pesquisadores independentes e hackers éticos quando encontram um bug ou uma vulnerabilidade de segurança em um serviço/site.
Um programa de recompensas por bugs é o lugar perfeito para pesquisadores de segurança ou hackers testarem suas habilidades. Dá a sensação de uma competição pública e uma corrida pelo dinheiro com suas habilidades.
De acordo com suas atividades, pode acabar sendo um trabalho em tempo integral para você. E, para alguns, pode ser um trabalho paralelo gratificante.
Geralmente, essas plataformas oferecem grandes prêmios em dinheiro se você relatar um problema grave em seu serviço.
Também é importante notar que existem duas plataformas de recompensas de bugs diferentes. Algumas empresas preferem construir sua plataforma, enquanto outras usam plataformas de recompensas de bugs de terceiros existentes para adicionar objetivos/tarefas para a recompensa mencionada.
No entanto, alguns têm um conjunto de requisitos mínimos para que um relatório seja qualificado. Portanto, nem todo bug que você relatar lhe renderá recompensas.
Ajudaria se você passasse pelas regras ou diretrizes de um programa de recompensas de bugs antes de decidir investir tempo nele.
Por que as organizações têm plataformas de recompensas de bugs?
Agora você sabe que um programa de recompensas de bugs permite que qualquer organização envolva pesquisadores de segurança independentes (ou profissionais que eles não empregam diretamente) para encontrar bugs e vulnerabilidades em seu produto/site.
Mas por que um programa de recompensas por bugs é necessário para grandes empresas?
Eles já não têm funcionários qualificados que aprimoram constantemente o serviço?
Tecnicamente, sim. Mas, o objetivo de criar uma plataforma de recompensas de bugs é fazer com que mais pesquisadores de segurança auditem ou testem seu serviço (de graça).
Exatamente.
Toda a comunidade de hackers e pesquisadores éticos testa seus serviços e dá feedback por meio de relatórios.
Eles não têm que pagar uma taxa inicial pelo seu trabalho.
A empresa só paga uma recompensa (muitas vezes lucrativa) quando um indivíduo envia um bug válido ou um relatório de segurança.
No geral, um programa de recompensas por bugs é lucrativo para as empresas melhorarem seus produtos e é igualmente recompensador para hackers e pesquisadores éticos.
Então, é um cenário ganha-ganha.
Maiores programas de recompensas de bugs
Existem inúmeros programas de recompensas de bugs em todo o mundo. Aqui, mantemos alguns dos programas mais proeminentes disponíveis.
Observe que cada programa tem regras diferentes para elegibilidade e recompensas. Alguns oferecem recompensas e reconhecimento por problemas baseados em software e alguns por hardware. Portanto, certifique-se de verificar os critérios de elegibilidade, as regras de relatório de qualificação e o tipo de vulnerabilidades elegíveis para o prêmio.
Recompensa de segurança da Apple
O Apple Security Bounty é uma das maiores plataformas para hackers éticos. Ele oferece recompensas de até US$ 1.000.000 (um milhão de dólares) por vários problemas de segurança no iCloud e em seus smartphones.
Não se limitando apenas ao prêmio de recompensa, mas se envolver com a Apple e ter um relatório bem-sucedido deve dar a você um bom reconhecimento público por seu trabalho.
Eles também combinam os pagamentos de recompensas para algumas instituições de caridade qualificadas, o que é bom.
Recompensa de Meta Bug
Meta, anteriormente Facebook, também tem seu programa de recompensas de bugs, também conhecido como Whitehat.
O dinheiro da recompensa pode chegar a US $ 45.000. De acordo com a gravidade do bug, o prêmio em dinheiro pode ser muito mais (ou muito menos).
Meta publica o nome de todos os pesquisadores de segurança publicamente para agradecê-los. Você pode encontrar créditos para pesquisadores desde 2011 e anteriores.
Além disso, eles também oferecem um programa de fidelidade que ajuda você a multiplicar suas recompensas (até 20%) e ganhar viagens/viagens patrocinadas para eventos hacker pelo Meta.
Caçadores de Bugs do Google
O programa de recompensas Bug Hunters permite relatar problemas em vários domínios/serviços do Google (YouTube, Blogger, etc.)
As recompensas podem ir até $ 30.000 e mais para relatórios especiais.
Eles também apresentam uma plataforma de aprendizado onde você pode se inspirar/alvos de exemplos existentes e aprender à medida que avança.
Recompensa de Bug da Microsoft
O programa de recompensas por bugs da Microsoft oferece amplas oportunidades para contribuir e ser reconhecido pelo seu trabalho.
As recompensas podem chegar a US$ 1 milhão ou mais, conforme a gravidade e o tipo de relatório.
Recompensa por bug de segurança da Mozilla
O programa de segurança da Mozilla é uma plataforma interessante para pesquisadores. Embora eles não divulguem publicamente as expectativas em dinheiro do prêmio, você recebe seu nome em uma lista do hall da fama.
Ao contrário de outros, o Twitter utiliza uma plataforma de recompensa de bugs de terceiros para permitir que os pesquisadores participem. A recompensa mínima começa em $ 280 e pode ir até $ 20.000.
Também inclui um hall da fama na plataforma HackerOne para agradecer aos pesquisadores elegíveis.
Uber
O programa de recompensas por bugs da Uber também conta com o HackerOne, onde você pode receber até US$ 15.000 por relatórios críticos e colocar seu nome no hall da fama.
Tesla
O programa de recompensas de bugs da Tesla pode ser encontrado no Bugcrowd, mais uma plataforma de recompensas de bugs de terceiros.
As recompensas podem variar até US$ 15.000 por vulnerabilidade, de acordo com os critérios de elegibilidade.
Recompensa de Bug Intel
O programa de recompensas de bugs da Intel pode ser encontrado listado na plataforma initigriti. É uma oportunidade gratificante para os pesquisadores encontrarem problemas de software, firmware e hardware Intel.
As recompensas podem chegar a US$ 100.000.
Centro de Resposta de Segurança Tencent
O programa de recompensas de bugs da Tencent abrange vários ativos, como WeChat, QQ, site da Tencent, domínios e vários outros aplicativos de propriedade deles.
As recompensas podem não ser as mais altas, variando até US$ 3.800 para as divulgações essenciais; você ganha uma placa do hall da fama.
Programa de recompensas Samsung
O Samsung Rewards Program é o programa de recompensas de bugs para os produtos móveis da Samsung.
Considerando que seu relatório se qualifica, a recompensa pode chegar a US$ 2.00.000 ou mais, conforme a gravidade do problema. Embora você possa denunciá-lo usando seu site oficial, eles contam com o Bugcrowd para processar os pagamentos e entrar em contato com o pesquisador.
Cisco Meraki
O produto/oferta da Cisco que lida com WiFi, roteamento e segurança controlados em nuvem com foco empresarial utiliza o Bugcrowd para seu programa de recompensas de bugs. Considerando-o como uma oferta especializada, o trabalho/habilidades necessários para descobrir problemas podem ser desafiadores ou empolgantes.
As recompensas podem chegar a US $ 10.000 para problemas graves.
Recompensa de Bug da Netflix
O programa de recompensas de bugs da Netflix também pode ser encontrado no Bugcrowd, onde lista todos os seus domínios/serviços qualificados para testes/relatórios.
As recompensas podem chegar a US$ 20.000 por vulnerabilidade.
PayPal
O programa de recompensas de bugs do Paypal utiliza a plataforma HackerOne. Além disso, ele precisa de autenticação de dois fatores habilitada para poder participar.
As recompensas podem chegar a US$ 20.000 para relatórios de vulnerabilidades críticas.
Intuit Bug Bounty
A Intuit, a empresa por trás de produtos como QuickBooks, TurboTax, Mint, etc., oferece a capacidade de enviar um relatório usando um formulário em seu site oficial e também o HackerOne.
Com o HackerOne, o programa de recompensas por bugs é privado. Então, você terá que fazer login na sua conta para verificar e participar.
Shopify
Sendo uma das plataformas de comércio eletrônico mais populares, o programa de recompensas de bugs da Shopify no HackerOne pode pagar até US$ 50.000 de recompensa por uma vulnerabilidade grave.
Alibaba
O Programa BugBounty do Alibaba cobre a maioria dos sites/serviços que possui. Você pode enviar o relatório de vulnerabilidade em seu site oficial e esperar recompensas de até US$ 2.500.
Soundcloud
Uma das maiores plataformas de áudio abertas, o Soundcloud oferece um programa de recompensas de bugs baseado em Bugcrowd com recompensas de até US$ 4.500 em caso de relatórios de vulnerabilidades graves.
Você terá o habitual hall da fama com bugcrowd.
Airbnb
O Airbnb oferece recompensas de até US$ 15.000 por meio da plataforma de recompensas por bugs HackerOne. Também realiza promoções para incentivar os hackers a trabalhar em novas vulnerabilidades críticas, oferecendo um bônus de 50%.
Booking.com
Booking.com não divulga detalhes específicos (exceto os domínios elegíveis) no HackerOne.
Você pode entrar em contato com a equipe de segurança por meio do programa de assistência à divulgação do HackerOne.
Xiaomi
A Xiaomi utiliza o HackerOne para seu programa de recompensas de bugs. O programa abrange vários serviços para pesquisadores e inclui recompensas e bônus especiais, além de recompensas de até US$ 8.000 por uma vulnerabilidade crítica em seus produtos de negócios.
Quadrado
Square é um aplicativo de ponto de venda disponível para smartphones. Para qualquer relatório de vulnerabilidade grave para seu aplicativo/site, ele oferece até US $ 5.000 como recompensa por meio de seu programa de recompensas de bugs no Bugcrowd.
Nintendo
O programa de recompensas de bugs da Nintendo permite que você encontre problemas que permitem aos jogadores trapacear, piratear os jogos e outros problemas técnicos.
As recompensas podem chegar a US$ 12.000.
Coinbase
A Coinbase é uma plataforma dominante de troca de criptomoedas. Ele oferece um programa de recompensas por bugs por meio do HackerOne, oferecendo recompensas de até US $ 50.000.
Cloudflare
A Cloudflare oferece a maioria dos serviços importantes que ajudam as empresas de internet a proteger e melhorar suas ofertas na web. Seu programa de recompensas de bugs no HackerOne descreve vários problemas que um pesquisador pode procurar, juntamente com links para toda a documentação necessária.
As recompensas podem chegar a US $ 3.000 para problemas graves.
ExpressVPN
O programa de recompensas de bugs da ExpressVPN é sem dúvida o maior entre outros provedores de serviços VPN.
Juntamente com as recompensas usuais de até US$ 2.500, ele também oferece um bônus único de até US$ 1.00.000 se você for o primeiro a relatar uma vulnerabilidade de execução remota de código ou algo que vaze os endereços IP dos clientes.
A caça aos bugs, recompensas e reconhecimento
Considerando que um programa de recompensas por bugs dá aos hackers éticos um playground para testar suas habilidades, parece uma boa ideia para qualquer pesquisador independente e para a empresa melhorar suas ofertas.
É incrivelmente importante seguir as regras/diretrizes mencionadas no programa de recompensas por bugs. Se você não cumprir os critérios, perderá tempo e seu relatório não se qualificará para uma recompensa.
Você também pode estar interessado em campos de treinamento de hackers éticos.